DNS как веб-фильтр

Репутационные базы сейчас становятся основой информационной безопасности. Связано это с тем, что нет единственной надёжной технологии защиты от всех угроз, но защититься от нападений можно только комплексно, по совокупности признаков. Именно такую совокупность и обеспечивают репутационные технологии, которые сводят в свой вердикт множество самых разнообразных признаков.

 

Важность DNS

  Сейчас используются следующие три типа репутационных баз:   

• URL - базы этого типа основаны на универсальном указателе ресурса (URL), ключевым элементом которого является доменное имя сервера; 
• IP-адреса - эти черные или белые списки составляются по IP-адресам, которые используются в Интернет для связи. Однако сейчас IP-адресов не является указателем на конкретный сервер или компьютер, поэтому в таких базах очень много ложных срабатываний; 
• Имена файлов - впрочем идентификация идет не по именам, но по контрольным суммам файлов, имена которых могут быть любыми. Впрочем, и эти базы часто привязываются к URL, если файл расположен где-то в Интернет.

 

Из списка технологий видно, что наиболее общим подходом являются репутационные базы, построенные на URL, к которому также можно привязвать самую разнообразную информацию о вредоносности того или иного ресурса. При этом он является даже не прямым адресом, но ссылкой, состоящей из различных компонент: доменного имени, каталога, имени файла (для него можно вычислить контрольную сумму) и самых разнообразных параметров. При этом имя сервера также является не его прямым IP-адресом, но только ссылкой на запись в системе преобразования доменных имен в IP-адреса - это преобразование выполняет система доменных имен (DNS). Фактически именно DNS является той ключевой системой, которая может быть использована для хранения репутационной информации о всех ресурсах сети Интернет.

 

По изначальной задумке DNS должна быть нейтральной и максимально быстро преобразовывать доменное имя в реальный IP-адрес сервера. Однако этот принцип нейтральности DNS является проблемой, поскольку злоумышленники часто используют и динамические доменные адреса, и переадресацию, и сервисы сокращенных ссылок, чтобы скрыть реальный URL, куда ведет та или иная ссылка. Однако в любом случае именно DNS-сервер в конце концов сообщает браузеру адрес вредоносного сайта, откуда может быть загружен вредоносный контент.

 

Если мы хотим обезопасить Интернет от вредоносной активности, то стоит несколько модифицировать принципы работы DNS - она не должна быть пассивной, но сопротивляться вредоносной активности. В частности, корпоративному DNS-серверу не стоит корректно разрешать ссылки на очевидно фишинговые сайты или ресурсы, заражающие своих посетителей вредоносным программным обеспечением. При этом, вполне возможно не нарушать структуру основного сайта, поскольку вредоносные вкрапления на сайте, как правило, делаются хакерами незаметно для посетителей, поэтому их блокировка также не должна вызвать проблем.

 

URL-фильтры

  Собственно есть достаточно большой класс продуктов, которые занимаются URL-фильтрацией. Однако большинство из них работает как специальное устройство, которое слушает весь корпоративный трафик, выделяя в нем URL и проверяя их по собственной репутационной базе. Если URL подозрительный, то он подменяется на другой - с предупреждением, которое располагается на соответствующем корпоративном сайте. Такие устройства устанавливаются на уровень шлюза и часто имеют ограниченную пропускную способность.   

В то же время можно не контролировать трафик URL, но изменить разрешение доменных имен. Если имя сервера имеет отрицательную репутацию, то выдавать клиенты не его реальный IP-адрес, а адрес специального сервера с соответствующим предупреждением. Такая фильтрация доменных имен на уровне корпоративного DNS-сервера не требует "на лету" разбирать HTTP-протокл, выделять из него URL, запрашивать репутацию его в базе - достаточно просто в базе DNS-сервера модифицировать записи, которые показались подозрительными.

 

Впрочем есть уже два сервиса фильтрации DNS: компании Google с помощью Google Safe Browsing API и российской компании Entensys под названием Gatewall DNS-Filter. Для подключения к ним достаточно перенастроить корпоративный DNS-сервер так, чтобы сведения о доменных именах он получал от указанных для каждого из этих сервсов IP-адреса. Это специфичные DNS-сервера, в которых собрана база всех опасных доменных имен. Эти имена совсем не те, которые выдят незащищенные пользователи Интернет, но специальные IP самого сервиса. В то же время остальные имена с хорошей репутацией сервера преобразуют вполне корректно.

 

Впрочем сервис Google по понятным причинам очень демократичен - в его базу попадают только те адреса, которые очевидно являются вредоносными. В результате, его база данных составляет всего чуть более трех сотен тысяч адресов, которые содержат вредоносный код. Эти адреса собираются практически вручную теми компаниями, которые следят за вредоносной активностью зомби-сетей и вредоносных программ. Этот сервис можно использовать только для защиты от вредоносов.

 

Облачный DNS-фильтр

  В то же время услуга Entensys является платной, и позволяет клиентам выполнять более тонкие настройки. База этого продукта основана на четырех партнерских облаках: "Лаборатории Касперского", Panda Security, BrightCloud и Commtouch. Две базы составляются антивирусными компаниями и они предоставляют сведения о вредоносных URL, а два последних поддерживают облачные сервисы по защите своих клиентов от вредоносного содержания. Поэтому база Entensys значительно точнее - в ней содержится репутация более 500 млн. адресов, при этом каждый день обновляются сведения по более 100 тыс. URL.   

Кроме того, в сервисе Entensys предусмотрено 82 категории, каждую из которых можно заблокировать или разрешить. Эти настройки делает администратор корпоративной сети в специально предназначенном для этого веб-интерфейсе. Таким образом, защита может быть настроена более точно - не только для предотвращения проникновения вредоносных программ, но также и для фильтрации других типов ненужной информации: порнографии, музыки, фильмов, веб-игр, социальных сетей и практически любых веб-приложений. Эти настройки делаются администратором на серверах Entensys и транслируются на соответствующие корпоративные DNS-сервера, а далее и на всех клиентов, как внутренних, так и внешних. В результате, можно фильтровать интернет в том числе и на мобильных устройствах, если настроить соответствующий DNS-сервер и заблокировать смену этой настройки.

 

Подобная система фильтрации хорошо подходит для государственных и образовательных учреждений, а также компаний, которые заботятся о сокращении непродуктивного расходования вычислительных ресурсов. Причем услуга не требует установки какого-нибудь дополнительного оборудования или программного обеспечения - для подключения достаточно изменить настройки корпоративного DNS-сервера, в котором указать соответствующие сервера компании Entensys.

 

В то же время компания предлагает провайдерам специальный набор API и модулей интеграции с биллинговыми системами, которые позволяют построить на их основе дополнительный сервис защиты, интегрированный с личным кабинетом пользователя. Это даст операторам возможность зарабатывать дополнительные средства на предоставлении безопасного доступа к Интернет.

 

Заключение

  Следует отметить, что DNS-фильтр не является панацеей от всех проблем информационной безопасности. В частности, он не исключает использования классических антивирусных продуктов, поскольку не контролирует, например, съемные носители и даже внутрикорпоративные сетевые диски. Тем не менее он позволяет защититься от наиболее популярного на текущий момент способа заражения компьютеров через встроенные в сайт или в электронное письмо перенаправляния на троянские страницы.   

К тому же этот тип защиты оказывается самым оперативным - поскольку не требует обновления антивирусных баз, но только оперативного очищения DNS-кешей. Кроме того, сервис DNS-Filter, в отличии от антивирусов, позволяет сократить корпоративный трафик, поскольку с его помощью можно заблокировать наиболее ресурсоемкие сетевые сервисы: мультимедийные ресурсы, интернет-игры, зомби-сети и другие непродуктивные веб-ресурсы.